Sono passati ormai alcuni mesi dall’approvazione e pubblicazione su GU della Ue del regolamento sulla libera circolazione e protezione dei dati personali, c.d. GDPR (“General Data Protection Regulation”), atto normativo destinato a soppiantare le vigenti leggi europee sulla privacy, a partire dal 25 maggio 2018.
Gli Stati Ue (i 28 meno il Regno Unito) hanno meno due anni a disposizione per fare ordine nei loro sistemi giuridici ed approntare le misure per minimizzare gli effetti di eventuali traumi ad imprese, cittadini e pubbliche amministrazioni, provando anche a non far lievitare i costi per la collettività. Il ricorso al regolamento è da sempre piuttosto dibattuto e controverso a Bruxelles. Nel caso della riforma della direttiva 95/46/CE in materia di privacy, ancora di più. Per i fautori, sempre più pochi, di una vera Unione, è questo lo strumento che via via dovrebbe essere sempre di più utilizzato, arrivando progressivamente alla dismissione dei parlamenti nazionali; per chi invece propugna il mantenimento se non addirittura il rafforzamento degli Stati nazionali e della loro piena sovranità, la direttiva resta il mezzo migliore per legiferare su principi comuni, lasciando poi agli Stati nazionali la libertà di manovra necessaria in sede di recepimento delle direttive stesse.
Non è un caso se, in occasione del lungo dibattito che ha preceduto l’adozione del GDPR, proprio il Regno Unito sia stato il più strenuo oppositore circa l’uso del regolamento. E poi, alcuni mesi dopo, abbiamo avuto la Brexit.
A ben vedere, nel GDPR, si riscontrano sia obblighi di adozione di atti delegati ed esecutivi demandati espressamente alla Commissione, sia obblighi normativi la cui attuazione è lasciata alla complementare o esclusiva competenza dei singoli Stati membri. E’ importante sottolineare come Commissione e futuro European Data Protection Board (EDPB) giocheranno ruoli importanti nella partita per l’armonizzazione e la corretta applicazione delle disposizioni del GDPR. Il Parlamento italiano, poi, si dovrà pronunciare sul disegno di legge governativo finalizzato all’attuazione e al corretto inserimento delle norme del GDPR nell’ordinamento nazionale. In seguito all’approvazione, sarà poi compito del Governo emanare i decreti legislativi necessari alla coerente attuazione delle disposizioni del GDPR e alla transizione dal vigente Codice Privacy (D. Lgs. 196/2003) al futuro regime in vigore a partire dal maggio 2018.
Gli strumenti di adeguamento delle fonti UE all’ordinamento interno sono disciplinati dalla L. 24 dicembre 2012, n. 234, che ha introdotto una riforma organica delle norme in materia di attuazione della normativa Europea a livello nazionale. In particolare, sono state introdotte la Legge Europea e la Legge di Delegazione Europea. Presumibilmente, dunque, sarà la Legge di Delegazione Europea ad intervenire nell’opera di adeguamento. L’orologio tuttavia scorre velocemente. Aziende e p.a. non hanno molto tempo per poter introdurre processi fluidi in tema, ad esempio, di valutazione di impatto privacy, nomina del DPO, creazione di processi a difesa del data breach . Il GDPR va “implementato” sia affrontando le norme espressamente oggetto di riserva nazionale all’interno del regolamento – ad esempio, con riferimento alla presenza o meno di sanzioni penali, sia r armonizzando il regolamento con quanto finora prodotto dall’Autorità Garante. Qualche mese fa ho partecipato ad un tavolo a Palazzo Chigi presieduto da Raffaele Tiscar, col contributo forte di Elio Catania e l’importante partecipazione delle autorità di controllo e garanzia. Sarebbe opportuno ripartire da quella esperienza virtuosa per non disperdere il lavoro svolto e attivare proficuamente gli stakeholders coinvolti, in primis il Commissario Piacentini e il Consigliere Barberis. Il Governo ha visione e competenza per poter guidare il cambiamento, anche perché non bisogna mai dimenticare che le norme sulla circolazione dei dati, sono l’altra faccia della rivoluzione avviata con la banda ultralarga. L’occasione non può andare perduta e occorre fare presto.
